Master-X
Форум | Новости | Статьи
Главная » Форум » Топы » 
Тема: Прощай GB Top и GB CJ
цитата
15/02/11 в 22:59
 Retox
Нжно рекурсивно обойти все папки в поиске .htaccess файлов и изучить их
и искать AddType application/x-httpd-php дальше идут расширения файлов которым присваивается ф-ции php скриптов...
в результате может .bak,txt,ini и тп файлы содержать аплоадер говна.
Которое может быть перетянуто на новый чистый хост - и с помощью которого загружаются инклудеры экспов и тп.
цитата
16/02/11 в 02:14
 J_Geer
Одни хтаксесы много не дадут. Я искал вот так:

egrep -rno 'uploader|FILE UPLOAD|\"\; \#root|AddHandler|PathDenyFilter|ftpaccess|AddType application\/x-httpd-php' .

и еще по многим ключам из отловленных файлов. Это если есть SSH. Если нет, то то же самое в PHP "обертке" (просьба прогерам не смеяться, как сумел, так и сваял)::


<?php
/*                                             WARNING!!!
Don't check many files at once, use seperate search by folders or group of folders!
You can overload the server and get "big thanks" from your hoster.
Output format: path/file:pattern_line_number:pattern

You can insert your own codes between " grep -rтo '(  and  )' * ". with   |  delimiter.
More info about RegExp in Russian: http://poplinux.ru/adv-bash/chapter-18.1.html
If you find hacker's code - use own samples from him!
*/
$cmd = "egrep -rno 'uploader|FILE UPLOAD|\"\; \#root|AddHandler|PathDenyFilter|ftpaccess|AddType application\/x-httpd-php' .";
exec($cmd, $results);
?>

<html>
<head>
<title>Seach suspect code</title>
</head>
<body>
<table align="center" width="1000" border="0">
<tr><td>
<b><center>This files are suspect:</center><b>
</td></tr>
<tr><td>
<?php
for ($i = 1;(strlen($results[$i])>0); $i++) {
printf("<center> <textarea style=\"text-align:left;font-size:14px;\" cols=\"120\" rows=\"1\" >{$results[$i]}</textarea><br><br>");
}
?>
</div></td></tr>
</table>
   </body>
      </html>


Можно и нужно еще поискать и глазиками отсмотреть недавно измененные файлы:

find . \( -name \"*.php\" -or -name \"*.dat\" -or -name \"*.htm\" -or -name \"*.html\" -or -name \"*.phtml\" -or -name \"*.shtml\"\) -type f -size +2k -mtime -10 -exec ls -ltB {} \;


или в PHP:

<?php
/************    Утилита поиска файлов на сервере без SSH доступа
                               средствами операционной системы.
OS: *NIX systems (Unix, Linux)
Ищет файлы заданных типов, размером больше заданного (+14k - размером больше 14кб) и измененные не позже заданного времени.
Цель - поиск вебшелов, визуальная проверка измененных в последнее время файлов и т.п.
Применение: загрузить в корневой каталог сайта и запустить файл: http://URL/search.php

*************   Если у вас есть SSH доступ, *****************
то можно напрямую выполнить команду в командной строке :
find . \( -name \"*.php\" -or -name \"*.dat\" \) -type f -size +16k -mtime -10 -exec ls -ltB {} \;
где
*.dat и *.php   - типы файлов. Можно задавать и больше, добавляя: -or -name \"*.type\" перед  \)
-size +16k    - файлы размером больше 16кб
-mmin -7200    - измененные за последние 7200 минут (сутки = 1440 минут) ,или равноценно
-mtime -10    - измененные за последние 10 дней
Это стандартные *NIX'совые команды. Разумеется, можно искать любые файлы любого типа. Подробнее смотри команду "find" в *nix системах.
**************                                                     *****************/
$cmd = "find . \( -name \"*.php\" -or -name \"*.dat\" -or -name \"*.htm\" -or -name \"*.html\" -or -name \"*.phtml\" -or -name \"*.shtml\"\) -type f -size +2k -mtime -10 -exec ls -ltB {} \;";
exec($cmd, $results);
?>

<html>
<head>
<title>Search last changed files</title>
</head>
<body>
<table align="center" width="1000" border="0">
<tr><td>
<b><center>FOUND CHANGED FILES:</center><b>
</td></tr>
<tr><td><div style="text-align:left;font-size:14px;">

<?php
for ($i = 1;(strlen($results[$i])>0); $i++) {
printf(" {$results[$i]}<br>");
}
?>
</td></tr>
</table>
   </body>
      </html>
цитата
16/02/11 в 19:27
 CrazyMen
Нашел такую херню вот:
[root]# egrep -rno 'uploader|FILE UPLOAD|\"\; \#root|AddHandler|PathDeyFilter|ftpaccess|AddType application\/x-httpd-php' .
./.bash_history:13:FILE UPLOAD
AddHandler
PathDenyFilter
ftpaccess
./.bash_history:14:FILE UPLOAD
ftpaccess
./.bash_history:15:FILE UPLOAD
ftpaccess
./.bash_history:16:FILE UPLOAD
ftpaccess

Что-то есть?
цитата
17/02/11 в 01:48
 J_Geer
Нет. Посмотри файл .bash_history , это обычный текстовый файл в папке /root , в нем храниться история выполненных в консоли команд, типа лог. Я здесь мало ключей дал. Попробуй еще так:
[code hidden]
cd /
egrep -rno 'uploader|FILE UPLOAD|\"\; \#root|AddHandler|PathDenyFilter|ftpaccess|Ly8k|x4cO|7b1t|JGF1|eJzl|eval\(gzinflate\(base64_decode|idz=|passthru\(\"uname -a\"|JGZp|JGNo|name=\"y_key|a30514|str=\"60!115!99!114!105|fromCharCode\(105,109|charset=cp866|find config|act=filemanager|href=\?ac=navigation|parent.window.opener|clayaim.com' .

По ключам типа Ly8k|x4cO|7b1t может найти и нормальные закодированные ионкубом файлы и т.п., по моему в admin.php gb сиджа что-то такое было - но это уже надо по месту смотреть. С гб сиджом проще - скачать последний с сайта и проверить его тоже. Если совпадают, то все нормально. Но я на всякий случай гебешные admin.php тоже снес заодно с мастерсами. На всякий случай. Пусть пока так стоят, пока полностью не восстановлюсь, а потом все равно скрипт менять надо.
Стр. « первая   <  1, 2


Эта страница в полной версии